.\" -*- coding: UTF-8 -*-
.\"	$OpenBSD: ssh-add.1,v 1.87 2024/06/17 08:30:29 djm Exp $
.\"
.\" Author: Tatu Ylonen <ylo@cs.hut.fi>
.\" Copyright (c) 1995 Tatu Ylonen <ylo@cs.hut.fi>, Espoo, Finland
.\"                    All rights reserved
.\"
.\" As far as I am concerned, the code I have written for this software
.\" can be used freely for any purpose.  Any derived versions of this
.\" software must be clearly marked as such, and if the derived work is
.\" incompatible with the protocol description in the RFC file, it must be
.\" called by a name other than "ssh" or "Secure Shell".
.\"
.\"
.\" Copyright (c) 1999,2000 Markus Friedl.  All rights reserved.
.\" Copyright (c) 1999 Aaron Campbell.  All rights reserved.
.\" Copyright (c) 1999 Theo de Raadt.  All rights reserved.
.\"
.\" Redistribution and use in source and binary forms, with or without
.\" modification, are permitted provided that the following conditions
.\" are met:
.\" 1. Redistributions of source code must retain the above copyright
.\"    notice, this list of conditions and the following disclaimer.
.\" 2. Redistributions in binary form must reproduce the above copyright
.\"    notice, this list of conditions and the following disclaimer in the
.\"    documentation and/or other materials provided with the distribution.
.\"
.\" THIS SOFTWARE IS PROVIDED BY THE AUTHOR ``AS IS'' AND ANY EXPRESS OR
.\" IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE IMPLIED WARRANTIES
.\" OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE ARE DISCLAIMED.
.\" IN NO EVENT SHALL THE AUTHOR BE LIABLE FOR ANY DIRECT, INDIRECT,
.\" INCIDENTAL, SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT
.\" NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES; LOSS OF USE,
.\" DATA, OR PROFITS; OR BUSINESS INTERRUPTION) HOWEVER CAUSED AND ON ANY
.\" THEORY OF LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT
.\" (INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF THE USE OF
.\" THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF SUCH DAMAGE.
.\"
.\"*******************************************************************
.\"
.\" This file was generated with po4a. Translate the source file.
.\"
.\"*******************************************************************
.Dd $Mdocdate: 18 juin 2024 $
.Dt SSH-ADD 1
.Os
.Sh NOM
.Nm ssh-add
.Nd Ajouter des identités de clé privée dans l'agent d'authentification d’OpenSSH
.Sh SYNOPSIS
.Nm ssh-add
.Op Fl CcDdKkLlqvXx
.Op Fl E Ar hachage_empreinte
.Op Fl H Ar fichier_clé_hôte
.Op Fl h Ar restriction_destination
.Op Fl S Ar fournisseur
.Op Fl t Ar durée_de_vie
.Op Ar fichier ...
.Nm ssh-add
.Fl s Ar pkcs11
.Op Fl Cv
.Op Ar certificat ...
.Nm ssh-add
.Fl e Ar pkcs11
.Nm ssh-add
.Fl T
.Ar clé_publique ...
.Sh DESCRIPTION
.Nm ssh-add
ajoute des identités de clé privée dans l'agent d'authentification
.Xr ssh-agent 1 .
Lorsqu'il est exécuté sans argument, il ajoute les
fichiers
.Pa ~/.ssh/id_rsa ,
.Pa ~/.ssh/id_ecdsa ,
.Pa ~/.ssh/id_ecdsa_sk ,
.Pa ~/.ssh/id_ed25519
et
.Pa ~/.ssh/id_ed25519_sk .
Après le chargement d'une clé privée,
.Nm ssh-add
tente de
charger l'information du certificat correspondant depuis le fichier dont le
nom est obtenu en suffixant le nom du fichier de clé privée avec
.Pa -cert.pub .
Il est possible de spécifier des noms de fichiers différents sur
la ligne de commande.
.Pp
Si l'un des fichiers nécessite une phrase secrète,
.Nm ssh-add
la demandera à
l'utilisateur. La phrase secrète est lue depuis le terminal de
l'utilisateur.
.Nm ssh-add
tentera de rejouer la dernière phrase secrète si
plusieurs fichiers d’identité sont fournis.
.Pp
L'agent d'authentification doit être en cours d'exécution et la variable
d'environnement
.Ev SSH_AUTH_SOCK
doit contenir le nom de son socket pour
que
.Nm ssh-add
puisse fonctionner.
.Pp
Les options sont les suivantes :
.Bl -tag -width Ds
.It Fl C
Ne traiter que les certificats et délaisser les clés simples lors de l’ajout
ou de la suppression de clés de l’agent.
.It Fl c
Indiquer que les identités ajoutées devront faire l’objet d’une confirmation
avant d'être utilisées pour l'authentification. La confirmation est réalisée
à l’aide du programme
.Xr ssh-askpass 1 .
Au lieu d’afficher un texte dans
l'interface, une confirmation fructueuse est signalée par un code de retour
de \fB0\fP de
.Xr ssh-askpass 1 .
.It Fl D
Supprimer toutes les identités de l'agent.
.It Fl d
Supprimer des identités de l'agent au lieu d’en ajouter. Si
.Nm ssh-add
est
exécuté sans argument, les clés des identités par défaut et les certificats
correspondants sont supprimés. Sinon, la liste d'arguments est interprétée
comme une liste de chemins de fichiers de clé publique pour spécifier les
clés et certificats à supprimer de l'agent. Si aucune clé publique n'est
trouvée dans les chemins spécifiés,
.Nm ssh-add
ajoutera
.Pa .pub
à ces
chemins et relancera la tentative de suppression. Si la liste d’arguments
est « - »,
.Nm ssh-add
lira les clés publiques à supprimer sur l’entrée standard.
.It Fl E Ar hachage_empreinte
Cette option permet de spécifier l’algorithme de hachage utilisé pour
l’affichage des empreintes de clé. Les options valables sont « md5 » et
« sha256 ». La valeur par défaut est « sha256 ».
.It Fl e Ar pkcs11
Supprimer les clés fournies par la bibliothèque partagée PKCS#11
.Ar pkcs11 .
.It Fl H Ar fichier_clé_hôte
Cette option permet de spécifier un fichier des hôtes connus pour rechercher
des clés d’hôte lorsque les clés de l’hôte de destination sont restreintes à
l’aide de l’option
.Fl h .
Spécifier cette option plusieurs fois permet
d’effectuer la recherche dans plusieurs fichiers. Si aucun fichier n’est
spécifié,
.Nm ssh-add
utilisera les fichiers des hôtes connus par défaut de
.Xr ssh_config 5
 :
.Pa ~/.ssh/known_hosts ,
.Pa ~/.ssh/known_hosts2 ,
.Pa /etc/ssh/ssh_known_hosts
et
.Pa /etc/ssh/ssh_known_hosts2 .
.It Fl h Ar restriction_destination
Lors de l’ajout de clés, restreindre leur utilisation à des hôtes
spécifiques ou à certaines destinations.
.Pp
Les restrictions de destination de la forme
« [utilisateur@]nom_hôte_destination » imposent l’utilisation de la clé
depuis l’hôte d’origine (celui qui exécute
.Xr ssh-agent 1 )
vers l’hôte
de destination indiqué, optionnellement préfixé du nom d’utilisateur.
.Pp
Les restrictions de la forme
« nom_hôte_source>[utilisateur@]nom_hôte_destination » imposent, pour
utiliser une clé disponible dans un
.Xr ssh-agent 1
redirigé, de passer
par un hôte particulier (spécifié par « src-hostname ») pour s’authentifier
auprès d’un hôte final (spécifié par « dst-hostname »).
.Pp
Il est possible d’ajouter plusieurs restrictions de destination lors d’un
chargement de clé. Lors d’une tentative d’authentification avec une clé qui
fait l’objet de restrictions de destination, l’ensemble du cheminement de la
connexion, y compris la redirection de l’agent
.Xr ssh-agent 1 ,
est testé
vis-à-vis de ces restrictions et chaque saut doit être autorisé pour que la
tentative aboutisse. Par exemple, si une clé est redirigée vers l’hôte
distant « hôte_b » et est utilisée pour un authentification auprès de l’hôte
« hôte_c », l’opération ne réussira que si « host-b » a été autorisé depuis
l’hôte d’origine et si le saut subséquent « hôte_b>hôte_c » est aussi
autorisé par les restrictions de destination.
.Pp
Les hôtes sont identifiés par leur clé d’hôte et sont recherchés dans les
fichiers d’hôtes connus par
.Nm .
Il est possible d’utiliser des motifs
avec caractères génériques pour les noms d’hôte et les clés d’hôte sous
forme de certificat sont prises en charge. Par défaut, les clés ajoutées par
.Nm ssh-add
ne présentent pas de restrictions de destination.
.Pp
Les restrictions de destination sont prises en charge depuis la version 8.9
d’OpenSSH. Cette prise en charge est requise à la fois au niveau du client
SSH distant et du serveur lorsqu’on utilise des clés avec restrictions de
destination sur un canal d’agent
.Xr ssh-agent 1
redirigé.
.Pp
Il est aussi important de noter que les restrictions de destination ne
peuvent être appliquées par
.Xr ssh-agent 1
que si une clé est utilisée
ou s’il est redirigé par un
.Xr ssh 1
.Sy coopératif .
En particulier,
elles n’empêcheront pas un attaquant ayant accès à un
.Ev SSH_AUTH_SOCK
distant de le rediriger à nouveau et de l’utiliser sur un autre hôte (mais
seulement vers une destination autorisée).
.It Fl K
Charger les clés résidentes à partir d’un authentificateur FIDO.
.It Fl k
Lors du chargement de clés dans l’agent ou de suppressions de clés de
l’agent, ne traiter que les clés privées simples et non les certificats.
.It Fl L
Lister les paramètres de clés publiques de toutes les identités actuellement
présentes dans l'agent.
.It Fl l
Lister les empreintes de toutes les identités actuellement présentes dans
l'agent.
.It Fl q
Mode silencieux après une opération réussie.
.It Fl S Ar fournisseur
Cette option permet de spécifier le chemin d’une bibliothèque qui sera
utilisée lors de l’ajout de clés hébergées par un authentificateur FIDO ;
elle outrepasse le comportement par défaut consistant à utiliser la prise en
charge interne de USB HID.
.It Fl s Ar pkcs11
Cette option permet d’ajouter des clés fournies par la bibliothèque partagée
PKCS#11
.Ar pkcs11 .
Il est possible de spécifier des fichiers de
certificat à l’aide d’arguments sur la ligne de commande. S’ils sont
présents, ils seront chargés dans l’agent en utilisant toute clé privée
correspondante chargée depuis le jeton PKCS#11.
.It Fl T Ar clé_publique ...
Cette option permet de tester si les clés privées qui correspondent aux
fichiers
.Ar clé_publique
spécifiés sont utilisables, en effectuant des
opérations de signature et de vérifications sur chacune d’entre elles.
.It Fl t Ar durée_de_vie
Cette option permet de définir une durée de vie maximale lors de l'ajout
d’identités dans l'agent. La durée de vie peut être spécifiée en secondes ou
dans un format spécifié dans
.Xr sshd_config 5 .
.It Fl v
Mode prolixe. Cette option permet de demander à
.Nm ssh-add
d’afficher des
messages de débogage à propos de son exécution. Cela s’avère utile pour
déboguer les problèmes. Plusieurs options
.Fl v
(au maximum 3) augmentent
le prolixité.
.It Fl X
Déverrouiller l'agent.
.It Fl x
Verrouiller l'agent avec un mot de passe.
.El
.Sh ENVIRONNEMENT
.Bl -tag -width Ds
.It Ev DISPLAY , SSH_ASKPASS et SSH_ASKPASS_REQUIRE
Si
.Nm ssh-add
a besoin d'une phrase secrète, il la lira sur le terminal actif
s'il a été lancé dans un terminal. Si
.Nm ssh-add
n'a aucun terminal associé
alors que
.Ev DISPLAY
et
.Ev SSH_ASKPASS
sont définies, il exécutera
le programme spécifié par
.Ev SSH_ASKPASS
(par défaut « ssh-askpass ») et
ouvrira une fenêtre X11 pour lire la phrase secrète. Cela s’avère
particulièrement utile lors de l'appel de
.Nm ssh-add
depuis un fichier
.Pa .xsession
ou un script similaire.
.Pp
.Ev SSH_ASKPASS_REQUIRE
permet de contrôler plus finement l’utilisation
d’un programme askpass. Si cette variable est définie à « never »,
.Nm ssh-add
n’en utilisera pas. Si elle est définie à « prefer »,
.Nm ssh-add
préférera
utiliser le programme askpass plutôt que le terminal pour demander un mot de
passe. Enfin, si la variable est définie à « force », le programme askpass
sera utilisé pour toutes les entrées de phrase secrète, que
.Ev DISPLAY
soit définie ou non.
.It Ev SSH_AUTH_SOCK
Identifie le chemin du socket de domaine UNIX utilisé pour communiquer avec
l’agent.
.It Ev SSH_SK_PROVIDER
Cette variable spécifie le chemin d’une bibliothèque qui sera utilisée lors
de l’ajout de clés hébergées par un authentificateur FIDO ; elle outrepasse
le comportement par défaut consistant à utiliser la prise en charge interne
de USB HID.
.El
.Sh FICHIERS
.Bl -tag -width Ds -compact
.It Pa ~/.ssh/id_ecdsa
.It Pa ~/.ssh/id_ecdsa_sk
.It Pa ~/.ssh/id_ed25519
.It Pa ~/.ssh/id_ed25519_sk
.It Pa ~/.ssh/id_rsa
Ces fichiers contiennent l’identité d’authentification ECDSA, ECDSA hébergée
par un authentificateur, Ed25519, Ed25519 hébergée par un authentificateur
ou RSA de l’utilisateur.
.El
.Pp
Les fichiers d'identité ne doivent être accessibles en lecture que pour
l'utilisateur. Notez que
.Nm ssh-add
ignorera tout fichier d'identité s'il est
accessible pour les autres.
.Sh CODE DE RETOUR
Le code de retour est \fB0\fP en cas de réussite, \fB1\fP si la commande spécifiée
échoue et \fB2\fP si
.Nm ssh-add
ne parvient pas à contacter l'agent
d'authentification.
.Sh VOIR AUSSI
.Xr ssh 1 ,
.Xr ssh-agent 1 ,
.Xr ssh-askpass 1 ,
.Xr ssh-keygen 1 ,
.Xr sshd 8
.Sh AUTEURS
OpenSSH est un dérivé de la version originale et libre 1.2.12 de ssh par
Tatu Ylonen. Aaron Campbell, Bob Beck, Markus Friedl, Niels Provos, Theo de
Raadt et Dug Song ont corrigé de nombreux bogues, rajouté de nouvelles
fonctionnalités et créé OpenSSH. Markus Friedl a contribué à la prise en
charge des versions 1.5 et 2.0 du protocole SSH.
.Pp
.Sh TRADUCTION
La traduction française de cette page de manuel a été créée par
Lucien Gentis <lucien.gentis@waika9.com>
.
.Pp
Cette traduction est une documentation libre ; veuillez vous reporter à la
.Lk https://www.gnu.org/licenses/gpl-3.0.html GNU General Public License version 3
concernant les conditions de copie et 
de distribution. Il n'y a aucune RESPONSABILITÉ LÉGALE.
.Pp
Si vous découvrez un bogue dans la traduction de cette page de manuel, 
veuillez envoyer un message à
.Mt debian-l10n-french@lists.debian.org
.Me .